Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento proporciona a un ejemplo de cómo configurar un headend IOS XE para el Acceso Remoto con la postura usando AnyConnect IKEv2 y el método de autenticación de la publicación de mensaje EAP 5 (EAP-MD5).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Para asegurarse de que las medidas de seguridad de la red impuestas sigan siendo relevantes y eficaces, Cisco ISE le permite validar y mantener las capacidades de seguridad en cualquier máquina del cliente que tenga acceso a la red protegida. Empleando las directivas de la postura que se diseñan para asegurarse de que los ajustes de seguridad o las aplicaciones más actualizados están disponibles en las máquinas del cliente, el administrador de Cisco ISE puede asegurarse de que cualquier máquina del cliente que tenga acceso la red se encuentra, y continúa encontrándose, los estándares de seguridad definidos para el acceso de red de empresas. Los informes de la conformidad de la postura proveen de Cisco ISE una foto de la conformidad llana de la máquina del cliente a la hora del ingreso del usuario al sistema, así como cualquier momento ocurre una nueva valoración periódica.
La postura se puede representar por tres elementos principales:
Note: El Routers que funciona con IOS XE no utiliza el cambio de dirección.
Note: El software IOS XE debe tener arreglos para que los defectos siguientes tengan CoA con ISE completamente - operativo:
El CoA CSCve16269 IKEv2 no trabaja con ISE
El CoA CSCvi90729 IKEv2 no trabaja con ISE (el coa-push=TRUE en vez de verdad)
El flujo de la postura sin el cambio de dirección se documenta muy bien en el flujo de la postura de la sección del artículo “comparación del estilo de la postura ISE para pre y el poste el 2.2", “en ISE el 2.2".
El aprovisionamiento del módulo de la postura de Anyconnect ISE con FlexVPN se puede hacer por 2 maneras diferentes:
Las condiciones siguientes se deben satisfacer para el trabajo de la postura con el aprovisionamiento manual del módulo de la postura ISE:
1. El domain name server (DNS) debe resolver el nombre de dominio completo (FQDN) enroll.cisco.com a los Nodos del servicio de la directiva (PSNs) IPS. Durante el primer intento de conexión el módulo de la postura no tiene ninguna información sobre PSNs disponible. Está enviando las sondas de detección para encontrar PSNs disponible. El FQDN enroll.cisco.com se utiliza en una de estas puntas de prueba.
2. El puerto 8905 TCP se debe permitir para PSNs IPS. La postura va vía el puerto 8905 TCP en este decorado.
3. El certificado Admin en los Nodos PSN debe tener enroll.cisco.com en el campo SAN. La conexión entre el usuario de VPN y el nodo PSN vía TCP 8905 se protege vía el certificado Admin y el usuario conseguirá una advertencia del certificado si no hay tal nombre “enroll.cisco.com” en el certificado Admin de nodo PSN.
Note: Según el certificado del RFC6125 el CNs debe ser ignorado si hay valores SAN especificados. Significa que también necesitamos agregar el CNs del certificado Admin en el campo SAN.
Las condiciones siguientes se deben satisfacer para el trabajo de la postura con el aprovisionamiento automático del módulo de la postura ISE:
1. El DNS debe resolver el FQDN de CPP a los Nodos del servicio de la directiva (PSNs) IPS.
2. Los puertos 80, 443 y puerto TCP de CPP (8443 por abandono) se deben permitir para PSNs IPS. El cliente necesita abrir CPP FQDN directamente vía el HTTP (será reorientado al HTTPS) o el HTTPS, esta petición será reorientada al puerto de CPP (8443 por abandono) y entonces la postura va vía ese puerto.
3. Los Certificados Admin y de CPP en los Nodos PSN deben tener CPP FQDN en el campo SAN. La conexión entre el usuario de VPN y el nodo PSN vía TCP 443 es protegida por el certificado Admin y la conexión en el puerto de CPP es protegida por el certificado de CPP.
Note: Según el certificado del RFC6125 el CNs debe ser ignorado si hay valores SAN especificados. Significa que también necesitamos agregar el CNs del Admin y de los Certificados de CPP en el campo SAN de los Certificados correspondientes.
Note: Si el software ISE no contiene un arreglo para CSCvj76466 entonces posture o el aprovisionamiento del cliente trabajará solamente si el aprovisionamiento del posure o del cliente se hace en el mismo PSN en el cual autenticaron al cliente.
En caso de la postura con FlexVPN el flujo incluye estos pasos:
1. El usuario conecta con el concentrador de FlexVPN usando el cliente de Anyconnect.
2. ISE envía Acceso-valida al concentrador de FlexVPN con el nombre del ACL necesita ser solicitado el acceso de restricción.
3a. Primera conexión con el aprovisionamiento manual - El módulo de la postura ISE comienza a descubrir al servidor de políticas que envía la punta de prueba a enroll.cisco.com vía el puerto 8905 TCP. Como un resultado acertado el módulo de la postura descarga el perfil configurado de la postura y pone al día el módulo de la conformidad en el lado del cliente.
Durante los intentos de conexión siguientes el módulo de la postura ISE también utilizará los nombres y el IPS especificados en la lista del Call Home del perfil de la postura para la detección del servidor de políticas.
3b. Primera conexión con el aprovisionamiento automático - El cliente abre CPP vía el FQDN. Mientras que descargan a un ayudante acertado de la configuración de la red del resultado en el puesto de trabajo del cliente, y entonces él descarga y instala el módulo de la postura ISE, el módulo de la conformidad ISE y el perfil de la postura.
Durante los intentos de conexión siguientes el módulo de la postura ISE utilizará los nombres y el IPS especificados en la lista del Call Home del perfil de la postura para la detección del servidor de políticas.
4. Posture los controles del comienzo del módulo de la conformidad y envía los resultados de controlar al ISE.
5. Si el estatus del cliente es obediente entonces ISE envía Acceso-valida al concentrador de FlexVPN con el nombre del ACL necesita ser solicitado el cliente obediente.
6, cliente consigue el acceso a la red.
Más detalles sobre el proceso de la postura que usted puede encontrar en comparación del estilo de la postura ISE del documento “para pre y el poste el 2.2".
El usuario de VPN conseguirá el acceso al servidor (10.0.0.10) solamente si él tiene estatus obediente.
En este Servidor Windows 2008 del documento R2 se utiliza como servidor DNS.
Paso 1. Agregue el expediente del host (a) para enroll.cisco.com que señala al IP PSN:
Paso 2. Agregue el expediente del host (a) para CPP FQDN (cpp.example.com usado en este ejemplo) que señala al IP PSN:
El router utilizará el certificado para autenticarse al cliente de Anyconnect. El certificado del router se debe confiar en por el sistema operativo del usuario para evitar la advertencia del certificado durante la fase del establecimiento de la conexión.
El certificado de identidad se puede proporcionar en una de las maneras siguientes:
Note: Usando los certificados autofirmados no se utiliza con IKEv2 FlexVPN.
Opción 1 - Configure el servidor de las autoridades de certificación (CA) en el router
Note: El servidor CA se puede crear en el mismo router IOS u otro router. En este artículo el CA se crea en el mismo router.
Note: Usted necesita sincronizar el tiempo al servidor NTP antes de que el servidor CA pueda ser activado.
Note: Observe por favor que el usuario no podrá verificar la autenticidad de este certificado, así los datos del usuario no serán protegidos contra los ataques del intermediario a menos que el certificado CA se verifique y se importe manualmente en la máquina del usuario antes de establecer la conexión.
Paso 1. Genere las claves RSA para el servidor CA:
FlexVPN-HUB(config)# crypto key generate rsa label ROOT-CA modulus 2048
Paso 2. Genere las claves RSA para el certificado de identidad:
FlexVPN-HUB(config)# crypto key generate rsa label FLEX-1 modulus 2048
Verificación:
FlexVPN-HUB# show crypto key mypubkey rsa ---- output truncated ----- Key name: ROOT-CA
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C01F04 E0AF3AB8 97CED516 3B31152A 5C3678A0 829A0D0D 2F46D86C 2CBC9175
----- output truncated ------ ----- output truncated ------ Key name: FLEX-1
Key type: RSA KEYS
Storage Device: private-config
Usage: General Purpose Key
Key is not exportable. Redundancy enabled.
Key Data:
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
009091AE 4185DC96 4F561F7E 506D56E8 240606D0 CC16CC5E E4E24EEB 1664E42C ----- output truncated ------
Paso 3. Configure el CA:
ip http server crypto pki server ROOT-CA issuer-name cn=ROOT-CA.example.com hash sha256 lifetime certificate 1095 lifetime ca-certificate 3650 eku server-auth no shutdown
Verificación:
FlexVPN-HUB# show crypto pki server Certificate Server ROOT-CA:
Status: enabled
State: enabled
Server's configuration is locked (enter "shut" to unlock it)
Issuer name: cn=ROOT-CA.example.com
CA cert fingerprint: A5522AAB 1410E645 667F0D70 49AADA45
Granting mode is: auto
Last certificate issued serial number (hex): 3
CA certificate expiration timer: 18:12:07 UTC Mar 26 2021
CRL NextUpdate timer: 21:52:55 UTC May 21 2018
Current primary storage dir: nvram:
Database Level: Minimum - no cert data written to storage
Paso 4. Configure el trustpoint:
interface loopback 0 ip address 10.10.10.10 255.255.255.255 crypto pki trustpoint FLEX-TP-1
enrollment url http://10.10.10.10:80
fqdn none
subject-name cn=flexvpn-hub.example.com
revocation-check none
rsakeypair FLEX-1
Paso 5. Autentique el CA:
FlexVPN-HUB(config)#crypto pki authenticate FLEX-TP-1
Certificate has the following attributes:
Fingerprint MD5: A5522AAB 1410E645 667F0D70 49AADA45
Fingerprint SHA1: F52EAB1A D39642E7 D8EAB804 0EB30973 7647A860
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
Paso 6. Aliste al router al CA:
FlexVPN-HUB(config)#crypto pki enroll FLEX-TP-1
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:
% The subject name in the certificate will include: cn=flexvpn-hub.example.com
% The fully-qualified domain name will not be included in the certificate
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose FLEX-TP-1' commandwill show the fingerprint.
May 21 16:16:55.922: CRYPTO_PKI: Certificate Request Fingerprint MD5: 80B1FAFD 35346D0F D23F6648 F83F039B
May 21 16:16:55.924: CRYPTO_PKI: Certificate Request Fingerprint SHA1: A8401EDE 35EE4AF8 46C4D619 8D653BFD 079C44F7
Controle hasta que finalicen las solicitudes de certificado en el CA y verifique que la huella dactilar hace juego:
FlexVPN-HUB#show crypto pki server ROOT-CA requests
Enrollment Request Database:
Subordinate CA certificate requests:
ReqID State Fingerprint SubjectName
--------------------------------------------------------------
RA certificate requests:
ReqID State Fingerprint SubjectName
--------------------------------------------------------------
Router certificates requests:
ReqID State Fingerprint SubjectName
--------------------------------------------------------------
1 pending 80B1FAFD35346D0FD23F6648F83F039B cn=flexvpn-hub.example.com
Paso 7. Grant el certificado usando ReqID apropiado:
FlexVPN-HUB#crypto pki server ROOT-CA grant 1
Espere hasta las peticiones del router el certificado otra vez (según esta configuración controlará 10 veces una vez por el minuto). Busque el mensaje de Syslog:
May 21 16:18:56.375: %PKI-6-CERTRET: Certificate received from Certificate Authority
Verifique que el certificado esté instalado:
FlexVPN-HUB#show crypto pki certificates FLEX-TP-1
Certificate
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: General Purpose
Issuer:
cn=ROOT-CA.example.com
Subject:
Name: flexvpn-hub.example.com
cn=flexvpn-hub.example.com
Validity Date:
start date: 16:18:16 UTC May 21 2018
end date: 18:12:07 UTC Mar 26 2021
Associated Trustpoints: FLEX-TP-1
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=ROOT-CA.example.com
Subject:
cn=ROOT-CA.example.com
Validity Date:
start date: 18:12:07 UTC Mar 27 2018
end date: 18:12:07 UTC Mar 26 2021
Associated Trustpoints: FLEX-TP-1 ROOT-CA
Storage: nvram:ROOT-CAexamp#1CA.cer
Opción 2 - Certficate externamente firmado de la importación
FlexVPN-HUB(config)# crypto pki import FLEX-TP-2 pkcs12 ftp://cisco:cisco@10.48.30.130/ password cisco123
% Importing pkcs12...
Address or name of remote host [10.48.30.130]?
Source filename [FLEX-TP-2]? flexvpn-hub.example.com.p12
Reading file from ftp://cisco@10.48.30.130/flexvpn-hub.example.com.p12!
[OK - 4416/4096 bytes]
% The CA cert is not self-signed.
% Do you also want to create trustpoints for CAs higher in
% the hierarchy? [yes/no]:
May 21 16:55:26.344: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named FLEX-TP-2 has been generated or imported
yes
CRYPTO_PKI: Imported PKCS12 file successfully.
FlexVPN-HUB(config)#
May 21 16:55:34.396: %PKI-6-PKCS12IMPORT_SUCCESS: PKCS #12 Successfully Imported.
FlexVPN-HUB(config)#
Paso 1. Configure el servidor de RADIUS y el CoA:
aaa group server radius FlexVPN-AuthC-Server-Group-1
server-private 10.48.30.127 key Cisco123
server-private 10.48.30.128 key Cisco123
aaa server radius dynamic-author
client 10.48.30.127 server-key Cisco123
client 10.48.30.128 server-key Cisco123
server-key Cisco123
auth-type any
Paso 2. Configure las listas de la autenticación y de la autorización:
aaa new-model
aaa authentication login FlexVPN-AuthC-List-1 group FlexVPN-AuthC-Server-Group-1
aaa authorization network FlexVPN-AuthZ-List-1 local
aaa accounting update newinfo
aaa accounting network FlexVPN-Accounting-List-1 start-stop group FlexVPN-AuthC-Server-Group-1
Paso 3. Cree la directiva de la autorización ikev2:
crypto ikev2 authorization policy FlexVPN-Local-Policy-1
pool FlexVPN-Pool-1
dns 10.48.30.104
netmask 255.255.255.0
def-domain example.com
Paso 4. Cree el perfil IKEv2:
crypto ikev2 profile FlexVPN-IKEv2-Profile-1
match identity remote key-id example.com
identity local dn
authentication local rsa-sig
authentication remote eap query-identity
pki trustpoint FLEX-TP-2
dpd 60 2 on-demand
aaa authentication eap FlexVPN-AuthC-List-1
aaa authorization group eap list FlexVPN-AuthZ-List-1 FlexVPN-Local-Policy-1
aaa authorization user eap cached
aaa accounting eap FlexVPN-Accounting-List-1
virtual-template 10
Paso 5. Create transforma el conjunto y el perfil de ipsec:
crypto ipsec transform-set FlexVPN-TS-1 esp-aes esp-sha-hmac
mode tunnel
crypto ipsec profile FlexVPN-IPsec-Profile-1
set transform-set FlexVPN-TS-1
set ikev2-profile FlexVPN-IKEv2-Profile-1
Paso 6. Cree la interfaz de plantilla virtual:
interface Virtual-Template10 type tunnel
ip unnumbered GigabitEthernet3
tunnel mode ipsec ipv4
tunnel protection ipsec profile FlexVPN-IPsec-Profile-1
Paso 7. Cree a la agrupación local:
ip local pool FlexVPN-Pool-1 10.20.30.100 10.20.30.200
Paso 8. Cree el ACL para restringir el acceso para los clientes no-obedientes. Durante el estado desconocido de la postura por lo menos esos permisos deben ser proporcionados:
Éste es un ejemplo del ACL sin los servidores de la corrección, explícito niega para 10.0.0.0/24 que la red se agrega para la visibilidad, implícito “niega el IP cualquier” existe en el final del ACL:
ip access-list extended DENY_SERVER
permit udp any any eq domain
permit tcp any host 10.48.30.127 eq 80
permit tcp any host 10.48.30.127 eq 443
permit tcp any host 10.48.30.127 eq 8443
permit tcp any host 10.48.30.127 eq 8905
permit tcp any host 10.48.30.128 eq 80
permit tcp any host 10.48.30.128 eq 443
permit tcp any host 10.48.30.128 eq 8443
permit tcp any host 10.48.30.128 eq 8905
deny ip any 10.0.0.0 0.0.0.255
Paso 9. Cree el ACL para permitir el acceso para los clientes obedientes:
ip access-list extended PERMIT_ALL
permit ip any any
Paso 10. Configuración del túnel dividido (opcional)
Por abandono, todo el tráfico será dirigido sobre el VPN. Para tráfico de túnel solamente a las redes específicadas, usted puede especificarlas en la sección Política de la autorización ikev2. Es posible agregar los varios enunciados o utilizar la acceso-lista estándar.
crypto ikev2 authorization policy FlexVPN-Local-Policy-1 route set remote ipv4 10.0.0.0 255.0.0.0
Paso 11 Acceso a internet para los clientes remotos (opcionales)
Para que las conexiones salientes de los clientes de acceso remoto a los host en Internet a ser Nacional-ed a la dirección IP global del router, configure la traducción de NAT:
ip access-list extended NAT
permit ip 10.20.30.0 0.0.0.255 any
ip nat inside source list NAT interface GigabitEthernet1 overload extended
interface GigabitEthernet1
ip nat outside
interface Virtual-Template 10
ip nat inside
Configure el perfil del cliente usando el editor del perfil de AnyConnect. Los perfiles del cliente móvil de la Seguridad de Anyconnect en Windows 7 y 10 se guardan en el %ProgramData% \ Cisco \ Cliente de movilidad Cisco AnyConnect Secure \ perfil.
Paso 1. Característica porta prisionera de la detección de la neutralización. Si el servidor HTTP no se inhabilita en el concentrador de FlexVPN, la característica porta prisionera de la detección de AnyConnect hará la conexión fallar. Observe por favor que el servidor CA no funcionará sin el servidor HTTP.
Paso 2. Configure la lista de servidores:
Paso 3. Salve el perfil hasta el %ProgramData% \ Cisco \ Cliente de movilidad Cisco AnyConnect Secure \ perfil y recomience la CA.
El equivalente XML del perfil:
<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
<ClientInitialization>
<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
<AutomaticCertSelection UserControllable="true">true</AutomaticCertSelection>
<ShowPreConnectMessage>false</ShowPreConnectMessage>
<CertificateStore>All</CertificateStore>
<CertificateStoreMac>All</CertificateStoreMac>
<CertificateStoreOverride>false</CertificateStoreOverride>
<ProxySettings>Native</ProxySettings>
<AllowLocalProxyConnections>false</AllowLocalProxyConnections>
<AuthenticationTimeout>12</AuthenticationTimeout>
<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
<LocalLanAccess UserControllable="true">false</LocalLanAccess>
<DisableCaptivePortalDetection UserControllable="false">true</DisableCaptivePortalDetection>
<ClearSmartcardPin UserControllable="true">false</ClearSmartcardPin>
<IPProtocolSupport>IPv4,IPv6</IPProtocolSupport>
<AutoReconnect UserControllable="false">true
<AutoReconnectBehavior UserControllable="false">ReconnectAfterResume</AutoReconnectBehavior>
</AutoReconnect>
<AutoUpdate UserControllable="false">true</AutoUpdate>
<RSASecurIDIntegration UserControllable="false">Automatic</RSASecurIDIntegration>
<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
<PPPExclusion UserControllable="false">Automatic
<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
</PPPExclusion>
<EnableScripting UserControllable="false">false</EnableScripting>
<EnableAutomaticServerSelection UserControllable="true">false
<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
</EnableAutomaticServerSelection>
<RetainVpnOnLogoff>false
</RetainVpnOnLogoff>
<AllowManualHostInput>true</AllowManualHostInput>
</ClientInitialization>
<ServerList>
<HostEntry>
<HostName>FLEXVPN</HostName>
<HostAddress>flexvpn-hub.example.com</HostAddress>
<PrimaryProtocol>IPsec
<StandardAuthenticationOnly>true
<AuthMethodDuringIKENegotiation>EAP-MD5</AuthMethodDuringIKENegotiation>
<IKEIdentity>example.com</IKEIdentity>
</StandardAuthenticationOnly>
</PrimaryProtocol>
</HostEntry>
</ServerList>
</AnyConnectProfile>
Note: El cambio del certificado Admin recomenzará el nodo en el cual se ha cambiado el certificado.
Paso 1. Van a la administración - > sistema - > los Certificados - > los pedidos de firma de certificado, hacen clic en generan los pedidos de firma de certificado (CSR):
Paso 2. En el nodo necesario selecto abierto PSN de la página, llene los campos necesarios y agregue el FQDN del nodo, enroll.cisco.com, cpp.example.com y la dirección IP del nodo en los campos y el tecleo SAN genera:
Note: Si usted selecciona el Multi-uso en este paso usted puede utilizar el mismo certificado para el portal también.
En la exportación aparecida del tecleo de la ventana para salvar el CSR en el PEM formate a la estación de trabajo local:
Paso 3. Cante el CSR con el CA de confianza y consiga el archivo de certificado del CA así como el encadenamiento lleno de los Certificados CA (raíz e intermedio).
Paso 4. Van a la administración - > sistema - > los Certificados - > los certificados confiables, importación del tecleo. En el tecleo de la siguiente pantalla elija el fichero y seleccione certificado raíz CA el fichero, llenan el nombre descriptivo y la descripción si es necesario, de confianza necesario selecto para las opciones y el tecleo someten:
Relance este paso para todos los Certificados intermedios en el encadenamiento si hay ninguno.
Paso 5. Vuelva a la administración - > sistema - > los Certificados - > los pedidos de firma de certificado, CSR necesario selecto y certificado del lazo del tecleo:
Paso 6. En el tecleo abierto de la página elija el fichero, seleccione el archivo de certificado recibido del CA, después ingrese el nombre cómodo si está necesitado, después seleccione el uso: Admin (uso: El portal también puede ser seleccionado aquí si el CSR fue creado con el Multi-uso) y el tecleo somete:
Paso 7. En el tecleo móvil amonestador sí para acabar la importación. El nodo afectado cambiando del certificado Admin será recomenzado:
Relance los pasos para cambiar el certificado de CPP si usted decidía utilizar el certificado separado para el portal. En el uso selecto del paso 6: El portal y el tecleo someten:
Relance los pasos para todo el PSNs en el despliegue ISE.
Note: Con el método del EAP-MD5, solamente apoyan a los usuarios locales en ISE.
Paso 1. Van a la administración - > Administración de Indentity - > las identidades - > los usuarios, tecleo agregan.
Paso 2. En la página abierta ingrese el username, contraseña y la otra información necesaria y tecleo someten.
Paso 1. Van a los centros de trabajo - > postura - > los dispositivos de red, tecleo agregan.
Ster 2. En la página abierta ingrese el Nombre del dispositivo, IP address, la otra información necesaria, controlan la casilla de verificación “configuraciones de la autenticación de RADIUS”, ingresan el secreto compartido y el tecleo somete en la parte inferior de la página.
Éstos son los pasos para preparar la configuración de Anyconnect.
Paso 1. Transferencia directa del paquete de Anyconnect. El paquete sí mismo de Anyconnect no está disponible para la transferencia directa directa de ISE así que antes de que usted comience, se asegura de que la CA está disponible en su PC. Este link se puede utilizar para la transferencia directa CA - http://cisco.com/go/anyconnect. En este paquete del documento anyconnect-win-4.5.05030-webdeploy-k9.pkg se utiliza.
Paso 2. Para cargar por teletratamiento el paquete CA a ISE, navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente - > el tecleo de Resourcesand agrega. Elija a los recursos del agente del disco local. En la nueva ventana elija Cisco proporcionó a los paquetes, el tecleo elige el fichero y selecciona el paquete CA en su PC.
El tecleo somete para acabar la importación. Verifique que el hash y la prensa de los pacage confirmen.
Paso 3. El módulo de la conformidad tiene que ser cargado por teletratamiento a ISE. En el mismo tecleo de la página (centros de trabajo - > postura - > aprovisionamiento del cliente - > los recursos) agregue y elija a los recursos del agente del sitio de Cisco. En la lista de recursos usted debe controlar un módulo de la conformidad y hacer clic la salvaguardia. Para este módulo de la conformidad de AnyConnectComplianceModuleWindows 4.3.50.0 del documento se utiliza.
Paso 4. Ahora el perfil de la postura CA tiene que ser creado. Haga clic agregan y eligen el perfil del agente NAC o de la postura de Anyconnect.
Configuración CA del paso 5.Create. Navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente - > los recursos y el tecleo agregan, después seleccionan la configuración de AnyConnect.
Paso 6. Configure la directiva de aprovisionamiento del cliente. Navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente. En caso de la configuración inicial usted puede llenar los valores vacíos en la directiva presentada de los valores por defecto. En usted necesite agregar la directiva a la configuración existente de la postura, navegar a la directiva que puede ser reutilizada y elegir el duplicado arriba o duplicar abajo. La directiva a estrenar puede también ser creada.
Éste es el ejemplo de la directiva usada en el documento.
Elija su configuración CA en la sección del resultado.
Se utiliza el control simple de la postura. ISE se configura para controlar la existencia del fichero C:\TEST.txt en el lado del dispositivo del extremo. Los escenarios en la realidad pueden ser mucho más complicados pero los pasos de la Configuración general son lo mismo.
Paso 1. Cree la condición de la postura. Las condiciones de la postura están situadas en los centros de trabajo - > postura - > los elementos de la directiva - > las condiciones. Elija el tipo de condición de la postura y el tecleo agrega. Especifique la información necesaria y haga clic la salvaguardia. Debajo de usted puede encontrar un ejemplo de la condición del servicio que deba controlar si existe el fichero C:\TEST.txt.
Configuración de los requisitos del paso 2.Posture. Navegue a los centros de trabajo - > postura - > los elementos de la directiva - > los requisitos. Esto es un ejemplo para la existencia de TEST.txt del fichero:
Elija su condición de la postura en un nuevo requisito y especifique una acción de la corrección.
Paso 3. Configuración de la política de la postura. Navegue a los centros de trabajo - > postura - > directiva de la postura. Debajo de usted puede encontrar el ejemplo de la directiva utilizado para este documento. La directiva tiene “requisito de la existencia del fichero” asignado como obligatorio y no tiene ningunas otras condiciones asignadas.
Para la postura sin el cambio de dirección, la configuración del portal de disposición del cliente tiene que ser corregida. Navegue a los centros de trabajo - > postura - > aprovisionamiento del cliente - > portal de disposición del cliente que usted puede utilizar el valor por defecto porta o crear sus los propio.
Esas configuraciones se deben corregir en la configuración porta para el decorado del no-cambio de dirección:
Acceso inicial para el cliente cuando el estatus de la postura no es necesidades disponibles de ser restringido. Esto se podía alcanzar en las diferentes formas:
cisco av-pair = IP: acceso-grupo DENY_SERVER del interface-config=ip adentro
Paso 1. Configure el perfil de la autorización.
Como de costumbre para la postura se requieren dos perfiles de la autorización. Primer uno debe contener cualquier clase de restricciones del acceso a la red. Este perfil se puede aplicar a las autenticaciones para las cuales el estatus de la postura no es igual a obediente. El segundo perfil de la autorización pudo contener apenas los acces del permiso y puede ser aplicado para la sesión con los iguales del estatus de la postura a obediente.
Para crear el perfil de la autorización navegue a los centros de trabajo - > postura - > los elementos de la directiva - > los perfiles de la autorización.
Ejemplo del perfil del acceso restringido con la Filtro-identificación del radio:
Ejemplo del perfil del acceso restringido con el cisco av-pair:
Ejemplo del perfil ilimitado del acceso con la Filtro-identificación del radio:
Ejemplo del perfil ilimitado del acceso con el cisco av-pair:
Paso 2. Configure la directiva de la autorización. Durante las directivas de esta autorización del paso dos debe ser creado. Uno para hacer juego la petición inicial de la autenticación con el estatus desconocido de la postura y en segundo lugar uno de asignar el acceso total después del proceso acertado de la postura.
Es un ejemplo de las directivas simples de la autorización para este caso:
La configuración de la política de autenticación no es una parte de este documento pero usted debe tener presente que la autenticación necesita ser acertado antes de que el proceso de la directiva de la autorización comience.
La verificación básica del flujo puede consistir en tres pasos principales:
Paso 1. Verificación de la sesión de VPN del RA en el CONCENTRADOR de FlexVPN:
show crypto session username vpnuser detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
R - IKE Auto Reconnect, U - IKE Dynamic Route Update
Interface: Virtual-Access1
Profile: FlexVPN-IKEv2-Profile-1
Uptime: 00:04:40
Session status: UP-ACTIVE
Peer: 7.7.7.7 port 60644 fvrf: (none) ivrf: (none)
Phase1_id: example.com
Desc: (none)
Session ID: 20
IKEv2 SA: local 5.5.5.5/4500 remote 7.7.7.7/60644 Active
Capabilities:DNX connid:1 lifetime:23:55:20
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 10.20.30.107
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 499 drop 0 life (KB/Sec) 4607933/3320
Outbound: #pkts enc'ed 185 drop 0 life (KB/Sec) 4607945/3320
show crypto ikev2 sa detail
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 5.5.5.5/4500 7.7.7.7/60644 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA512, Hash: SHA512, DH Grp:5, Auth sign: RSA, Auth verify: EAP
Life/Active Time: 86400/393 sec
CE id: 1010, Session-id: 8
Status Description: Negotiation done
Local spi: 54EC006180B502D8 Remote spi: C3B92D79A86B0DF8
Local id: cn=flexvpn-hub.example.com
Remote id: example.com
Remote EAP id: vpnuser
Local req msg id: 0 Remote req msg id: 19
Local next msg id: 0 Remote next msg id: 19
Local req queued: 0 Remote req queued: 19
Local window: 5 Remote window: 1
DPD configured for 60 seconds, retry 2
Fragmentation not configured.
Dynamic Route Update: disabled
Extended Authentication configured.
NAT-T is detected outside
Cisco Trust Security SGT is disabled
Assigned host addr: 10.20.30.107
Initiator of SA : No
IPv6 Crypto IKEv2 SA
Paso 2. Verificación del flujo de la autenticación (registros vivos del radio):
Pues el IOS XE basó han utilizado al router como NAD para este ejemplo, usted no puede ver ninguna petición de la autenticación subsiguiente para el usuario. Esto sucede debido al hecho de que ISE utiliza el empuje COA para el IOS XE que evita el interuption del servicio VPN. En tal decorado, el COA sí mismo contiene los nuevos parámetros de autorización, así que el reauthentication no es necesario.
Verificación del informe del paso 3.Posture - Navegue a las operaciones - > señala - > señala - > punto final y los usuarios - > evaluación de la postura por la punto final.
Usted puede abrir el informe detallado de aquí para que cada evento determinado controle por ejemplo a qué ID de sesión pertenece este informe, que los requisitos exactos de la postura fueron seleccionados por ISE para la punto final y también el estatus para cada requisito.
Esta sección proporciona a la información que usted puede utilizar para resolver problemas su configuración.
debug crypto ikev2
debug crypto ikev2 packet
debug crypto ikev2 internal
debug crypto ikev2 error
debug aaa authorization
debug aaa authentication
debug aaa accounting
debug aaa coa
debug radius authentication
debug radius accounting
Para el proceso de la postura que resuelve problemas, esos componentes ISE tienen que ser activados en la depuración en los Nodos ISE donde el proceso de la postura puede suceder:
Para el lado del cliente resolverle problemas puede utilizar: